京都の林行政書士は個人情報保護士；認定番号第１５０５０６０００３０４号です

個人情報保護

個人情報保護士でもある当事務所は、お客様からお預かりしました個人情報の重要性を認識し、個人情報の保護に関する法令を遵守するため、ここに個人情報保護方針を定め、これを実行して参ります。

1.個人情報の取得

当事務所は、個人情報を収集する際には、利用目的を特定し、且つ明示した上で取得致します。

2.個人情報の利用

当事務所は、書類のお届けやお問合せに対する回答など、お客様にご満足いただけるサービスを提供する目的の範囲内にて利用致します。

3.個人情報の提供

当事務所は、予めご本人様の同意のある場合、または法令等により許容されている場合を除き、第三者に個人情報を提供することはありません。

4.個人情報の安全管理

当事務所は、個人情報への不当なアクセス、または個人情報の紛失、破壊、改ざん、漏洩などの危険を防止するために、必要な安全対策を講じ、継続的に改善して参ります。

　

当事務所は、個人情報の売買、貸与その他不当な行為を行わないことをお約束致します。

5.個人情報の開示・訂正

当事務所は、ご本人様が個人情報の開示をご希望された場合、または変更・訂正等の必要が生じた場合には、適切な対応を致します。

個人情報保護法とその対策

保護の対象としている個人情報とは、生存している特定の個人を識別できることを要件としています。

本法の対象となる個人情報取扱事業者とは、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去６ヶ月以内のうち１日でも５，０００人を超えた者が該当します。

営利事業のみならず非営利事業も含まれ、法人、法人格・権利能力のない団体等、延いては個人も該当し得ます。

(１）リスクの認識

本法施行により、多くの民間企業に情報セキュリティ対策が課せられたことになりますが、本法固有の項目への対策を考慮しながら、各社実情に合わせたリスクマネジメントを構築していく必要があります。

１.リスク分析の要素

• 情報資産
• 脅威
• 惰弱性

２.リスク対応の指針

リスクの発生する可能性、発生時の損失、対策に必要な費用などから対応方法を検討する。

リスクの回避　＞　リスクの軽減／ 移転　＞　リスクの保有

３．脅威の分類

• 技術的脅威 　（不正アクセスやウイルス等）
• 物理的脅威 　（災害、機器の故障、外部からの侵入等）
• 人的脅威 　（誤操作や不適切なパスワードの管理等）

４．惰弱性の分類

• 物理的惰弱性　（セキュリティ区画への入退出管理不備等）
• 組織的惰弱性　（セキュリティポリシーの未策定等）
• 人的惰弱性 　（ＰＣ無断持出しによる紛失・盗難等）
• 技術的惰弱性　（不適切なパスワードによる不正アクセス等）

惰弱性は、関連する脅威と組み合わせて認識すると効率な対策を構築しやすくなります。

以下、具体例を挙げます。

ネットワーク経由の情報漏洩

ＷＥＢサーバー上に個人情報ファイルを保存し、アクセス制御をかけていなかった。更に、ファイル交換ソフトにより個人情報がインターネット上に流失した事件は多い。

〔惰弱性〕アクセスコントロールの欠如

〔脅　威〕情報漏洩

事務所からのＰＣの盗難、及び持出先での紛失

〔惰弱性〕建物の物理的保護の欠如、及び担当者のセキュリティ意識の欠如

〔脅　威〕盗難・紛失　⇒　情報漏洩

文書管理の不備

顧客名簿が、普段は施錠されている書庫からなくなっていた。いつなくなったのか、誰が持ち出したのかは分からなかったが、その鍵の保管場所は従業者なら誰でも知っていた。

〔惰弱性〕保管不備

〔脅　威〕内部犯行　⇒　情報漏洩

ソーシャル・エンジニアリング

一般的に「社会工学」と訳されますが、情報セキュリティの世界では自分の身分を偽ってパスワード等の不正アクセスを行う上で必要な情報を関係者から直接聞き出す手口のことです。技術的なセキュリティ対策の裏を突く搦手からの始末の悪い攻撃です。

以下、具体例を挙げます。

1.スカビンジング

深夜にゴミ収集所へ行き、或いは清掃員になりすまし（実際に清掃員になる場合もある）事務所のゴミ箱をあさり、パスワードのメモや廃棄物を収集する。

2. のぞき見

ディスプレイに貼付けられたパスワードを見たり、キーボードで入力しているところを後から見たりする（ショルダーハック）、内部犯行の一部です。

3. 構内侵入

オフィスへの不法侵入による情報の盗難です。同伴者を装いつつ不正に侵入して情報を盗むことを特にピギーバックといいます。

4.なりすまし

システム管理者と偽ってユーザーを騙す等（逆もあります）、字の如く別人になりすまして不正に情報を入手する。

実際に上司には逆らいにくい社内事情を悪用して、他部署の上司になりすますケースが多く報告されています。

5.リバース・ソーシャル・エンジニアリング

一般的には不正行為をする側がターゲットへ近づきますが、逆に罠を仕掛けておくことをいいます。

最近では、なんらかの手段で本物を思わせたＷＥＢサイトへアクセスさせ、パスワード等を入力させるフィッシングと呼ばれる様々な巧妙な手口が登場しています。

組織体制の整備

本法を遵守するために組織体制を整える必要があり、経済産業省ガイドラインでも要求されています。

１． 推進体制の構築

２． 従業者の役割・責任の明確化 ３． 規定文書の策定　（方針・基準・手順） ４． 個人情報管理台帳の作成 ５． 監査人の任命

人的管理

個人情報の漏洩事故の多くは、従業者の故意（出来心）又は過失（不注意）が原因です。これは情報機能システム機能の対策だけでは防ぐことが難しく、外部からの不正アクセスよりも問題の根が深いものがあります。本法第２１条でも義務づけられているように、特に重要項目であり、『人は石垣、人は城』との武田信玄の名言が思い起こされます。 １． 従業者の監督と教育 ２． 派遣社員・契約社員の元企業との非開示契約 ３． 委託先の管理 ４． 再委託の原則禁止 ５． 苦情対応プロセスの策定

情報システムセキュリティ

機密性・完全性・可用性の３要素に大別される情報システムセキュリティを損なう事象を脅威として認識し、適切な防御策を立てて運用管理を徹底することが求められます。

1. ユーザーＩＤとパスワードの管理
2. アクセス制限とアクセス制御
3. 暗号化
4. 通信相手の本人認証方式として電子署名の導入等
5. 電子メールの安全性確保（ウイルス対策等）
6. 不正アクセスに対する防御策（ファイアーウォールの設置等）
7. 機器・媒体の廃棄基準の策定

オフィスセキュリティ

情報セキュリティ対策として、目に見える形での事務所や業務管理をどのように見直せばよいのか？という観点から具体例を紹介します。

１．入退室管理

大事なお客様といえども、情報セキュリティから見ると外部者には違いありません。失礼のないよう配慮しながらも、個人情報に近づけないようにするため、オフィスを次の３つのゾーンに区切った上、監視や記録保持、施錠管理をする必要があります。

• オープンエリア　　　（受付、打合せコーナー、応接室）
• 受け渡しエリア　　　（配送業者、郵便局など荷物の受け渡しの専用コーナー）
• セキュリティエリア　（オフィススペース：個人情報を取扱う実務上の現場です）
• 高セキュリティエリア（役員室、サーバールーム）
• また、従業者、訪問者及び常駐業者へのＩＤカードやスマートカードの発行や、バイオメトリクスによる高セキユリティエリアへの管理などの実施が望まれます。

２．オフィス内の保護対策

• 機器（コンピューター、プリンター、コピー機等）の厳重管理
• 磁気記録媒体の（個人所有）持込制限と持出制限
• 文書の施錠管理
• クリアーデスクポリシーの徹底

３．オフィス外の保護対策

• 個人情報の輸送手段のルール化
• ＰＣの持出制限
• 個人情報を適切に取扱える運送業者の選定

個人情報保護法の施行後も、残念ながら企業や行政の現場から個人情報の流失事件が後を絶ちません。

本法では対象外の事業者も本法に沿った対応が望まれすし、将来本法で規定する保有する個人情報の数が５０００人から引き下げられた場合、直ちに本法の義務対象となります。

個人情報が流失した場合、本法に基づく勧告・命令・罰則は言うに及ばず、企業イメージの低下による営業損失、及び被害者へのお詫び金又は損害賠償請求訴訟による損失など、その被害は甚大です。

本法及びガイドラインに基づき、早急なる情報セキュリティ対策が肝要です